KI-Agenten zeigten eine Schwachstelle bei Routerangriffen

Kritische Schwachstelle in der Kette von KI‑Agenten: Router

Router (API‑Mediatoren), die lokale Agentenanwendungen mit Cloud‑KI-Modellen verbinden, stellen einen wenig bekannten, aber äußerst gefährlichen Angriffsvektor dar. Forscher der University of California, Santa Barbara demonstrierten, wie leicht diese Schwachstelle ausgenutzt werden kann.

Was ist ein KI-Router?
* Rolle – Proxy zwischen der Client-Anwendung und dem Modellanbieter (OpenAI, Anthropic, Google).
* Zugriff – vollständiger Zugang zu jedem JSON‑Paket, das hindurchgeht.
* Sicherheit – die meisten großen Anbieter setzen keine kryptografische Datenintegrität ein; daher kann der Router Anfragen unbemerkt verändern.

Wie die Forscher die Bedrohung überprüften
Schritt | Was sie taten | Ergebnis
---|---|---
1 | Zugriff auf 28 kommerzielle Router (Taobao, Xianyu, Shopify) erlangt und 400 kostenlose aus Community‑Quellen analysiert. | Viele potenziell gefährliche Punkte entdeckt.
2 | Payload eingeführt, indem die Installations‑URL oder der Paketname durch ihre kontrollierte Ressource ersetzt wurden. Das veränderte JSON passierte alle automatischen Prüfungen; ein einzelner geänderter `curl`‑Befehl führte beliebigen Code auf dem Client aus. |
3 | OpenAI‑API‑Schlüssel gestohlen und beobachtet, wie Angreifer ihn für die Generierung von 100 Mio. GPT‑5‑Token nutzten. |
4 | Codex‑Sitzungsdaten kompromittiert. |
5 | 20 speziell anfällige Router auf 20 IP‑Adressen bereitgestellt und deren Aktivität überwacht. 40 000 unautorisierte Zugriffsversuche, ~2 Mrd. bezahlte Token, 99 Datensatzsets in 440 Codex‑Sitzungen (398 Projekte). In 401 von 440 Sitzungen war der autonome YOLO-Modus aktiviert, der es dem Agenten erlaubte, beliebige Befehle ohne Bestätigung auszuführen.

Warum das so gefährlich ist
* Angriffsimpuls – keine Zertifikatsfälschung nötig; der Client gibt selbst die Ziel‑API an.
* Keine Integritätsprüfung – ein bösartiger Router kann den Befehl ändern, den der Agent ausführt.
* Unsichere Dienste – selbst „gute“ Mediatoren können zu Angriffsvektoren werden.

Wie man sich ohne Anbieterunterstützung schützen kann
1. Signatur von Modellantworten – ideal, aber derzeit bei großen Anbietern nicht vorhanden (ähnlich DKIM für E‑Mail).
2. Mehrschichtiger Schutz auf Client-Seite – betrachte jeden Router als potenziellen Gegner:
* Validierung der JSON‑Struktur und des Inhalts.
* Beschränkungen von URLs, HTTP‑Methoden und Payloads.
* Protokollierung und Überwachung verdächtiger Aktivitäten.
3. Zugriffsbeschränkung auf API‑Schlüssel – sichere Schlüssel in geschützten Speicherorten halten, Rotation durchführen und minimal notwendige Rechte vergeben.

Fazit
Die Herkunft eines Befehls von einer KI‑Modellquelle kann ohne Signatur der Antworten des Anbieters nicht verifiziert werden. Solange solche Mechanismen fehlen, müssen Benutzer sich auf Client-Seite schützen, indem sie alle Zwischenservices sorgfältig prüfen und strenge Sicherheitsrichtlinien implementieren.